思科旗下威脅情報團隊Talos在macOS版的Microsoft 365辦公室套裝軟體，最近找到8個漏洞，並指出攻擊者若是將惡意程式庫注入應用程式，就有機會觸發這些漏洞，從而取得使用者授予應用程式的權限，例如：存取麥克風、視訊鏡頭、資料夾、螢幕錄製、使用者輸入等資源，一旦攻擊者掌握這些權限，就有可能洩露敏感資訊，甚至提升權限。

此次漏洞揭露涵蓋的Office應用程式，包含Word（CVE-2024-41165）、Excel（CVE-2024-43106）、PowerPoint（CVE-2024-39804）、Outlook（CVE-2024-42220）、OneNote（CVE-2024-41159），以及Teams（CVE-2024-41138、CVE-2024-41145、CVE-2024-42004）。

上述漏洞的CVSS風險評分皆為7.1，研究人員表示，攻擊者可利用這些漏洞得到應用程式已取得的權限，從而繞過作業系統的安全防護框架Transparency, Consent, and Control（TCC），過程中完全不需向使用者取得額外的驗證，只要成功利用漏洞，就能直接取得使用者已授予M365應用程式的所有權限。

這些漏洞若遭到利用，可能產生那些後果？研究人員指出，攻擊者可在使用者不知情的情況下利用他們的電子郵件帳號寄信、錄製聲音和影片、拍照，過程中完全無須使用者互動。

研究人員將上述發現進行通報，但微軟認為這些漏洞的風險並不高，而且有部分應用程式的運作過程裡，必須載入未經簽署的程式庫才能支援外掛程式，因此僅對OneNote、Teams進行處理。換言之，其餘4個M365應用程式仍曝露相關風險。